안드로이드 아이콘은 해커가 클릭 시 사용자를 피싱 웹사이트로 유도하는 결함을 이용해 악용할 수 있습니다 – FireEye

FireEye는 최근 사용자의 안드로이드 스마트폰이나 태블릿에서 다른 앱의 아이콘을 수정할 수 있는 악성 안드로이드 애플리케이션을 발견했다고 보고했습니다. 아이콘이 수정된 후, 스마트폰 사용자가 클릭하면 사용자가 피싱 웹사이트로 전송됩니다.

FireEye의 블로그 보고서는 보안 연구원인 Hui Xue, Yulong Zhang 및 Tao Wei가 작성했으며, 악성 앱이 안드로이드의 기본 실행기와 아이콘의 구성 설정을 수정하기 위해 일련의 권한을 남용했다고 설명합니다.

악성코드는 “com.android.launcher.permission.READ_SETTINGS” 및 “com.android.launcher.permission.WRITE_SETTINGS”로 알려진 일련의 권한을 남용하고 있습니다.

FireEye 연구원에 따르면, 위의 두 권한은 오랫동안 “정상”으로 분류되어 왔으며, 이는 악의적인 가능성이 없는 것으로 생각되는 애플리케이션 권한에 부여되는 명칭입니다. 따라서 이러한 권한은 사용자가 새 앱을 설치할 때 ‘수락’해야 하는 표준 권한 세트에 포함되지 않습니다.

안드로이드 OS에서 부여한 이 “정상” 명칭은 악성코드 작성자가 이 특정 악성 앱을 작성하는 데 사용한 허점입니다. 따라서 악성 앱은 “이러한 정상 권한을 사용하여” 합법적인 안드로이드 홈 화면 아이콘을 피싱 앱이나 웹사이트를 가리키는 가짜 아이콘으로 교체했다고 그들은 썼습니다.

저자들은 FireEye가 안드로이드 버전 4.2.2를 실행하는 구글의 Nexus 7 태블릿을 사용하여 아이콘이 다른 웹사이트로 사람들을 보내도록 수정될 수 있음을 보여주는 개념 증명 공격을 개발했다고 추가했습니다. FireEye는 구글의 보안 검사를 우회하여 ‘ThisIsATestApp’이라는 앱을 구글 플레이 스토어에 업로드할 수 있었으며, 개념 증명이 확인된 후 이를 제거했습니다.

구글의 플레이 스토어는 보안 문제에 대해 앱을 검사하며, 특히 구글 플레이에 가짜 앱이 등장한 이후 이 앱을 합법적인 것으로 간주하고 구글 플레이에 게시했습니다. FireEye는 구글 플레이 스토어에 잠시 게시된 PoC 앱을 다운로드한 사람이 없다고 덧붙였습니다.

FireEye는 2013년 10월에 이 결함에 대한 개념 증명을 구글에 제공했으며, 구글은 2014년 2월에 이 결함을 해결하기 위한 패치를 발행했다고 FireEye는 말합니다. 구글은 이 패치를 모든 OEM 파트너에게 발행했으며, 이는 업데이트 자체에 포함되어야 하지만 FireEye는 모든 OEM이 보안 패치를 신속하게 업그레이드하고 업데이트하지는 않는다고 말합니다. 이는 여러 안드로이드 스마트폰이 기본 ROM에서 여전히 이 악성 앱에 취약하다는 것을 의미합니다.

FireEye는 전 세계에서 사용 가능한 커스텀 ROM조차도 위의 권한을 합법적인 것으로 취급하여 CyanogenMod를 실행하는 안드로이드 스마트폰조차도 이 공격에 취약하게 만든다고 말합니다. FireEye는 CyanogenMod 커스텀 ROM을 실행하는 Nexus 7과 안드로이드 4.3을 실행하는 삼성 갤럭시 S4, 안드로이드 4.4.2를 실행하는 HTC One을 테스트했습니다. 모두 “read_settings” 및 “write_settings” 권한을 정상으로 분류합니다.

FireEye는 모든 안드로이드 공급업체가 보안 패치와 함께 안드로이드 OEM 버전을 업그레이드할 것을 촉구했습니다. 실제 위험은 공격자가 은행 애플리케이션의 아이콘을 수정하고 사용자를 속여 그들이 만든 가짜 웹사이트에서 은행 계좌 자격 증명과 같은 민감한 정보를 공개하도록 유도할 수 있다는 것입니다.

Resource : FireEye Blog